SPICA পিছনের দরজা

হুমকি অভিনেতা কোলড্রাইভার, রাশিয়ার সাথে যুক্ত, শংসাপত্র সংগ্রহের বাইরে তার ক্রিয়াকলাপকে প্রসারিত করতে দেখা গেছে। এটি তার প্রথম কাস্টম ম্যালওয়্যার চালু করেছে যা মরিচা প্রোগ্রামিং ভাষায় তৈরি করা হয়েছে যা SPICA ব্যাকডোর হিসাবে ট্র্যাক করা হচ্ছে। ছদ্মবেশী অ্যাকাউন্ট থেকে উদ্ভূত প্রতারণামূলক ইমেলগুলির সাথে, COLDRIVER-এর সাথে যুক্ত আক্রমণের কৌশলগুলি সংক্রমণের ক্রম শুরু করার জন্য পিডিএফগুলিকে ডিকয় নথি হিসাবে ব্যবহার করে।

কোলড্রাইভার, বিকল্পভাবে ব্লু ক্যালিস্টো, ব্লুচার্লি (TAG-53), ক্যালিস্টো (ক্যালিস্টো), ডান্সিং সালোম, গোসামার বিয়ার, স্টার ব্লিজার্ড (পূর্বে SEABORGIUM), TA446, এবং UNC4057 হিসাবে স্বীকৃত, 2019 সাল থেকে সক্রিয় রয়েছে। এর লক্ষ্যগুলি বিভিন্ন সেক্টরে বিস্তৃত, একাডেমিয়া, প্রতিরক্ষা, সরকারী সংস্থা, বেসরকারি সংস্থা, থিঙ্ক ট্যাঙ্ক, রাজনৈতিক সত্ত্বা এবং সম্প্রতি, প্রতিরক্ষা-শিল্প এবং শক্তি সুবিধা সহ।

স্পিয়ার-ফিশিং কৌশলগুলি ম্যালওয়্যার সরবরাহ করতে COLDRIVER দ্বারা ব্যবহৃত৷

গোষ্ঠী দ্বারা মাউন্ট করা স্পিয়ার-ফিশিং প্রচারাভিযানগুলি সম্ভাব্য ভুক্তভোগীদের সাথে জড়িত এবং বিশ্বাস গড়ে তোলার জন্য ডিজাইন করা হয়েছে যার চূড়ান্ত লক্ষ্য তাদের শংসাপত্র সংগ্রহ করতে এবং অ্যাকাউন্টগুলিতে অ্যাক্সেস পেতে জাল সাইন-ইন পৃষ্ঠাগুলি ভাগ করে নেওয়ার। সাইবার ক্রাইম গ্রুপটি অভিনেতা-নিয়ন্ত্রিত পরিকাঠামোর স্বয়ংক্রিয় স্ক্যানিং প্রতিরোধ করতে সার্ভার-সাইড স্ক্রিপ্ট ব্যবহার করে এবং ফিশিং ল্যান্ডিং পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করার আগে আগ্রহের লক্ষ্য নির্ধারণ করতে দেখা গেছে।

হুমকি অভিনেতা সৌম্য পিডিএফ নথিগুলিকে সূচনা পয়েন্ট হিসাবে ব্যবহার করে আসছেন নভেম্বর 2022 থেকে ফাইলগুলি খোলার লক্ষ্যে প্রলুব্ধ করার জন্য। COLDRIVER এই নথিগুলিকে একটি নতুন অপ-এড বা অন্য ধরণের নিবন্ধ হিসাবে উপস্থাপন করে যা ছদ্মবেশী অ্যাকাউন্ট প্রকাশ করতে চাইছে, লক্ষ্যের কাছ থেকে প্রতিক্রিয়া চেয়েছে৷ ব্যবহারকারী সৌম্য PDF খুললে, পাঠ্যটি এনক্রিপ্ট করা প্রদর্শিত হবে।

ইভেন্টে, প্রাপক বার্তাটির প্রতিক্রিয়া জানায় যে তারা নথিটি পড়তে পারে না এবং হুমকি অভিনেতা একটি ক্লাউড স্টোরেজ পরিষেবাতে হোস্ট করা একটি কথিত ডিক্রিপশন টুল ('Proton-decrypter.exe') এর লিঙ্ক দিয়ে প্রতিক্রিয়া জানায়। 'Proton-decrypter.exe' নামের পছন্দটি উল্লেখযোগ্য কারণ ফিশিং বার্তার মাধ্যমে পিডিএফ লোভ পাঠাতে প্রতিপক্ষ প্রধানত প্রোটন ড্রাইভ ব্যবহার করে।

স্পিকা ব্যাকডোরটি ডিক্রিপ্টারের ছদ্মবেশে ফেলে দেওয়া হয়৷

বাস্তবে, ডিক্রিপ্টর একটি ব্যাকডোর থ্রেট হিসাবে কাজ করে যা SPICA নামে পরিচিত, যা CLDRIVER কে বিচক্ষণতার সাথে সিস্টেমে প্রবেশ করতে দেয় এবং একই সাথে প্রতারণা বজায় রাখার জন্য একটি ছলনা নথি উপস্থাপন করে। SPICA, COLDRIVER-এর উদ্বোধনী কাস্টম ম্যালওয়্যার, JSON-কে WebSockets for Command-and-Control (C2) ব্যবহার করে, নির্বিচারে শেল কমান্ড কার্যকর করা, ওয়েব ব্রাউজার থেকে কুকিজ চুরি করা, ফাইল আপলোড করা এবং ডাউনলোড করা এবং ডেটা গণনা করা এবং উত্তোলন করার মতো বিভিন্ন ক্রিয়াকলাপের সুবিধা দেয়৷ একটি নির্ধারিত কাজের মাধ্যমে অধ্যবসায় প্রতিষ্ঠিত হয়।

কার্যকর করার পরে, SPICA একটি এমবেডেড পিডিএফ ডিকোড করে, এটি ডিস্কে সংরক্ষণ করে এবং ব্যবহারকারীর জন্য এটিকে ডিকয় হিসাবে খোলে। একই সাথে, এটি অধ্যবসায় স্থাপন করে এবং প্রাথমিক C2 লুপ শুরু করে, ব্যাকগ্রাউন্ডে কার্যকর করার জন্য কমান্ডের জন্য অপেক্ষা করে।

প্রমাণ থেকে জানা যায় যে জাতি-রাষ্ট্র অভিনেতা এই ইমপ্লান্টটি 2022 সালের নভেম্বরের প্রথম দিকে ব্যবহার করা শুরু করেছিলেন। সাইবার নিরাপত্তা দল 'এনক্রিপ্ট করা' পিডিএফ লোরের একাধিক রূপ শনাক্ত করেছে, যা লক্ষ্যে পাঠানো নির্দিষ্ট প্রলুব্ধ নথির জন্য তৈরি SPICA-এর বিভিন্ন সংস্করণের সম্ভাব্য অস্তিত্ব নির্দেশ করে। .

গবেষকরা সন্দেহ করেন যে স্পিকা ব্যাকডোর এনজিও, প্রাক্তন গোয়েন্দা এবং সামরিক কর্মকর্তা, প্রতিরক্ষা খাত এবং ন্যাটো সরকারগুলির মধ্যে বিশিষ্ট ব্যক্তিদের উপর দৃষ্টি নিবদ্ধ করে অত্যন্ত লক্ষ্যবস্তু এবং সীমিত আক্রমণে নিযুক্ত করা হয়েছে।